Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ウクライナ停電にも関与した攻撃グループ、国内複数物流企業を標的に

米FireEyeは、ロシア政府が関与すると見られる攻撃グループ「Sandworm」の活動を、5月初旬に複数の国内物流企業において観測したことを明らかにした。

同社によると、攻撃の具体的な目的はわかっていないが、攻撃対象となったホストのディレクトリ設定や利用したVPS、対象業種などから「Sandworm」による活動と結論付けたという。

今回の攻撃では、オープンソースの脆弱性検証ツールである「Metasploit」を悪用。破壊活動が目的だった可能性もあるとしている。

「Sandworm」は、過去に「Windows OLE」の脆弱性「CVE-2014-4114」を悪用したゼロデイ攻撃を展開。北大西洋条約機構(NATO)やウクライナなど、西ヨーロッパの政府機関、通信やエネルギーといった重要インフラなどを標的としていた。

さらに2015年12月、2016年12月のウクライナにおける停電へ関与したほか、「EternalPetya」による攻撃と同グループの攻撃手法における類似点が明らかとなっている。

(Security NEXT - 2018/07/20 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

米政府、マルウェア「TrickBot」展開する標的型攻撃で注意喚起
「Exchange Server」脆弱性、10グループ以上が悪用か - パッチ公開前にも
「Exchange Server」へのゼロデイ攻撃、中国支援グループが関与か
偽取引アプリなどで暗号資産を窃取 - 北朝鮮関与か
ランサムウェア「Ziggy」も活動中止 - 復号ツールも登場
ランサムウェア「Fonix」が活動停止 - 謝罪して復号鍵を公開
攻撃グループ「Lazarus」のマルウェア情報を公開 - JPCERT/CC
カスペ、APT攻撃や制御システムの脅威情報サービス - 個別調査も対応
北朝鮮グループ「Lazarus」が悪用する10種類のツール
「Lazarus」が新コロ研究情報を物色 - 政府や製薬企業に攻撃